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The invention concerns a method solving security problems resulting from the addition of a security circuit to 
a smart card reading terminal by providing said security circuit with means for counting (36) the number of 
times (34) the security circuit is activated for certain sensitive operations. When the total of said operations 
reaches a fixed value (33), the security circuit is prevented from operating until it is re-initialised (38) again. 
Optionally the circuit may have to be replaced by another. 
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PROCEDE DE GESTION D'UN TERMINAL SECURISE. 



On resout les problemes de securite resultant de I'ad- 
jonction d'un circuit de securite a un terminal de lecture de 
carte a puce en prevoyant, pour ce circuit de securite de 
compter (36) le nombre d'occasions (34) de solicitation de 
ce circuit de securite pour effectuer certaines operations 
sensibles. Lorsque le compte de ces operations atteint une 
valeur fixee (33) on empeche ce circuit de securite de fonc- 
tionner jusqu'a sa prochaine re-initialisation (38). Eventuel- 
lement on peut etre amene a devoir remplacer le circuit par 
un autre. 
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PROCEDE DE GESTION D'UN TERMINAL SECURISE 



La presente invention a pour objet un procede de 
gestion d'un terminal securise dit aussi lecteur, ainsi 
qu'un circuit de securite pour la mise en oeuvre du 
procede. Elle concerne le domaine des cartes a 
microcircuit dites a puces et plus genera lement le 
domaine des objets portables a puce. Ce domaine est 
celui par lequel avec des circuits electroniques soit 
on authentifie des porteurs de cartes a puce, soit on 
authentifie des contenus d • informations que contiennent 
les memoires de ces cartes, soit enfin on effectue des 
paiements, ou des augmentations de credits, en 
modifiant un nombre memorise dans la carte et 
representatif d» unites de paiement ou de points de 
fidelite. 

L» invention a pour objet, devant le developpement 
tres important des transactions accessibles avec des 
cartes a puces, de rendre plus sur, de securiser, les 
terminaux de lecture, dont le nombre disponible croit 
parallelement aux utilisations des cartes a puces. 

Un procede de gestion de transactions utilisant des 
cartes a puce, est par exemple decrit dans la demande 
de brevet Europeen EP-A-91 400 201.9 deposee le 
29.01.1991, 

Les systemes de securite actuel lement en vigueur 
comportent, dans les lecteurs, des circuits de securite 
dont la tache est notamment de controler 1' execution de 
tous ces protocoles de verification ou 
d'authentif ication executables par le lecteur. Ces 
circuits de securite, appeles circuit SAM dans la 
litterature anglo-saxonne (SECURE APPLICATION 
MICROMODULE), sont generalement aroovibles et sont 
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connectes au lecteur pour d'une part assurer ce 
controls des operations de securite, et d 1 autre part 
preciser certaines operations liees a une application 
particuliere mise en oeuvre par le lecteur. Une 
application est une serie d' operations executees par un 
lecteur, ou un appareil auquel ce lecteur est relie, et 
qui amenent a la satisfaction d'un besoin (en biens ou 
en services) exprime par le porteur de la carte. Le 
caractere amovible de ces circuits de securite les rend 
fragiles vis-a-vis des fraudeurs dont on soup<?onne 
qu'il voudront en connaitre le secret. Ceci sera 
d f autant plus realisable que le nombre de circuits de 
securite sera grand. 

Un des but de 1' invention est de garantir que les 
terminaux et les modules de securite ne soient pas 
utilises en dehors de 1 ■ application a laquelle il sont 
dedies. En effet, 1 •utilisation illegale d f un circuit 
de securite , sans terminal, est critique du point de 
vue de la securite car il est possible a un fraudeur 
d' avoir des informations sur les secrets contenus dans 
le circuit de securite. L f utilisation d»un terminal 
sans son circuit de securite est genera lement sans 
interet car le terminal ne detient pas les secrets de 
l f application. II n'est done pas capable de faire grand 
chose, L • utilisation d*un terminal et de son circuit de 
securite est par ailleurs dans certains cas elle aussi 
critique. En effet l 1 ensemble terminal plus circuit de 
securite permet de realiser des operations completes 
sur de vraies cartes. II est done indispensable de 
limiter 1 'utilisation des circuits de securite seuls et 
des ensembles circuit de securite plus terminal. 

Dans 1» invention, pour remedier aux problemes 
cite^, on preconise de compter le nombre de fois oti le 
circuit de securite est utilise pour des commandes 
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dites sensibles. On considerera comme commandes 
sensibles des commandes permettant notaroment de dormer 
des droits d'acces, d'authentif ier , de garantir la 
confidentiality de produire des cryptogrammes , de 
verifier des certificats, etc... D'une maniere 
generale, toute commande pourra etre a considerer comme 
sensible. Dans ce cas son existence sera assortie d'un 
attribut qui lui donne ou non ce caractere. 

Dans i» invention, lorsque le compte du nombre 
d' utilisations du circuit de securite atteint une 
valeur fixee, on bloque le f onctionnement de ce circuit 
de securite. Dans ce cas, ce circuit de securite ne 
peut plus effectuer son travail de securite. Dans ces 
conditions, a chaque fois qu'il est sollicite par le 
terminal, les transactions menees par le terminal, et 
pour lesquelles son f onctionnement est requis sont 
bloquees. Dans un perf ectionnement bien entendu le 
compteur de ce circuit de securite peut etre re- 
initialise en respectant une procedure qui elle-meme 
est secur isee . 

L' invention a done pour objet un procede de gestion 
d'un terminal securise utilise pour des transactions 
avec des cartes a puce comportant les etapes suivantes 

- on met une carte a puce en relation avec le 
terminal , 

- on fait executer un programme par le terminal, ce 
programme comportant des actions sensibles relatives a 
la securisation des transactions, 

caracterise en ce que 

- on compte le nombre de fois ou le terminal est 
sollicite pour executer des operations sensibles, et 

- on limite 1» action de ce terminal des que ce 
compte atteint une valeur fixee. 
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Au sens de 1' invention, il peut y avoir 
solicitation des la reception et identification par le 
terminal ou le module de securite d'une instruction ou 
d'une commande sensible. II est done possible de 
comptabiliser les commandes sensibles independamment de 
leur execution et/ou du resultat de leur execution. 

L« invention a egalement pour objet un circuit de 
securite pour la mise en oeuvre du procede ci-dessus. 
II est caracterise en ce qu'il comporte des moyens de 
gestion aptes a identifier et comptabiliser des 
sollicitations provenant de l'exterieur et a limiter 
ses fonctions des que la comptabilisation atteint un 
nombre predetermine. Les sollicitations peuvent 

provenir soit du terminal, soit du systeme maltre, soit 
d f un emulateur de terminal qui serait realise par un 
fraudeur. 

L 1 invention sera mieux comprise a la lecture de la 
description qui suit et a l'examen des figures qui 
l'accompagnent. Celles-ci ne sont donnees qu'a titre 
indicatif et nullement limitatif de 1« invention. Les 
figures montrent: 

- figure 1: une representation schematique d'un 
terminal utilisable pour mettre en oeuvre le procede de 
1 ' invention ; 

- figure 2: un organigramme montrant les 
principales stapes du procede de 1' invent ion; 

- figure 3: 1 • architecture des moyens electroniques 
mis en oeuvre dans le terminal de la figure 1; 

- figure 4: un exemple d 1 operation sensible de 
securite effectuee par le circuit de securite de 
l 1 invention. 

La figure 1 montre un terminal 1 utilisable pour 
mettre en oeuvre le procede de 1' invent ion. Le terminal 
1 comporte d'une maniere connue, de preference, un 
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clavier 2, un ecran 3 et une fente 4 pour y introduire 
une carte 5 a puce a lire avec le terminal lecteur 1. 
Le terminal 1 peut par ailleurs etre en relation avec 
un systeme maitre 6. La relation peut notamment etre du 
type telecommunication, le systeme maitre 6 etant 
distant. Les telecommunications peuvent par exemple 
etre hertz iennes. Le terminal i est cependant apte a 
effectuer un certain nombre d- operations de roaniere 
autonome et c'est de celles-ci dont ii est 
principalement question. Dans un exemple particulier 
montre sur la figure 1, le circuit de securite 
utilisable dans le terminal 1 est amovible: c'est un 
circuit 7 enchasse dans un objet 8 portable a puce. 
L-objet 8 portable a puce peut avoir la meme forme 
gu'une carte a puce 5. De preference, il a une forme 
differente avec notamment une partie geometrique de 
detrompage 9 pour empecher les utilisateurs de mal le 
placer. L'objet 8 est destine a etre introduit dans une 
fente 10 de lecture du terminal 1 destine a le recevoir 
lui seul. 

La figure 3, montree en dessous de la figure 1, 
montre pour les parties correspondantes 1 • architecture 
du systeme electronique ainsi constitue. le circuit 7 
comporte ainsi, de preference, un micro-processeur 11 
en relation par un bus d'adresses de donnees et de 
commande 12, d'une part avec une interface d' entree 
sortie 13 representee par un connecteur. Le micro- 
processeur est d' autre part en relation avec un jeu de 
memoires 14 et 15 et de compteurs 16 et 17. 

De la meme facon, ie systeme electronique du 
lecteur 1 comporte un micro-processeur 18 en relation 
avec un bus 19, du meme type que le bus 12, avec deux 
interfaces d,' entree-sortie respectivement 20 et 21 pour 
communiquer avec le circuit 7 d'une part, et avec un 
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microcircuit electronique 2 2 de la carte a puce 5 
d« autre part. Le bus 19 est encore en relation avec le 
clavier 2 et l'ecran 3. Le micro-processeur 18 execute 
par ailleurs des programmes qui sont contenus dans une 
memoire programme 23. 

Les structures physiques des micro-processeurs, des 
memoires programmes, des bus et des interfaces peuvent 
etre variees. De preference, les memoires sont des 
memoires de type non volatiles. Les compteurs 16 et 17 
sont des compteurs non volatiles. lis peuvent etre 
realises a la methode d'un boulier: chaque 
incrementation du compteur revenant a faire changer 
d'etat une des cellules memoires d'un registre, servant 
de boulier, et jouant le role de compteur. Lorsque 
toutes les cellules memoires ont bascule, le compteur a 
a atteint la valeur fixee. De preference neanmoins, le 
compteur pourra etre realise sous la forme d'une 
enregistrement enregistre en une memoire 50 de donnees 
associee a un logiciel de comptage du circuit 7. Le 
logiciel de comptage consistant, a chaque increment, a 
aller lire la valeur ancienne du compteur, a 
incrementer sa valeur d« unites, et a inscrire a la 
place de cet enregistrement la nouvelle valeur du 
compteur. Dans ce cas, la valeur fixee est contenue 
dans le logiciel de comptage. De plus, les clavier 2 et 
ecran 3 ne sont necessaires que dans la mesure ou 
1 ' application mise en oeuvre par le terminal l requiert 
la visualisation et la saisie de 1 ' information du 
porteur de la carte. Dans certains cas, ils peuvent 
etre omis, le protocole d'echange entre la carte 5 et 
le terminal 1 etant automatique. 

La figure 2 montre les etapes principales du 
procede de gestion de 1« invention. Au cours d'une etape 
24 un operateur met une carte a puce 5 en relation avec 
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le terminal l. Le terminal l, en application des 
instructions de son programme 26 memorise dans la 
memoire 23, et execute par le micro-processeur 18 
reagit a cette insertion et effectue une demande de 
transaction 25. Cette demande de transaction peut etre 
simplement la configuration du micro-processeur 18 pour 
le mettre a la disposition du micro-processeur 11. La 
demande de transaction peut ainsi, par exemple dans le 
cas de la verification du porteur d'une carte a puce, 
etre la demande de verification du code secret de ce 
porteur. Dans ce cas, le programme 26 memorise dans la 
memoire 23 comporte une instruction du type: "Lancement 
de 1' operation de verification du code secret du 
titulaire par le circuit de securite 7". Cette demande 
de transaction adressee par le microprocesseur 18 au 
microprocesseur 11 peut neanmoins etre differente et 
correspondre a toutes les operations de securite 
evoquees ci-dessus. 

Selon 1' invention, le circuit de securite 7 
effectue alors la suite des operations 27 de la figure 
2. Au cours d'une premiere operation 28 de cette suite 
27, le micro-processeur 11 du circuit 7 regarde si une 
instruction 29 de son programme 3 0 de securite charge 
en memoire 14, est une instruction de type sensible ou 
non. Elle est du type sensible, si elle est affectee 
par exemple d'un attribut, d'un drapeau, qui lui est 
associe a cet effet. Un tel drapeau peut par exemple 
etre une configuration particuliere de bits du code 
instruction de 1 • instruction 29 . 

Si elle n'est pas une instruction de type sensible, 
si elle n'est pas du type pour leguel il faut compter 
le nombre de fois ou elle a ete mise en oeuvre, la 
suite de la transaction est immediate. Le circuit 7 
et/ou le lecteur 1 continuent alors, par 1 'operation 31 
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a fonctionner comme dans 1 1 etat de la technique. Par 
contre, si 1' operation demandee relative a 
1 ■ instruction 29 est une operation sensible, le 
microprocesseur 11 intercale dans le deroulement du 
programme 3 0 un programme 3 2 de gestion du compteur 
memorise lui aussi dans la memo ire 14. Dans le 
programme 32 il y a un premier test 3 3 par lequel on 
ctierche a savoir si un compteur de securite, par 
exemple le compteur 16, comporte une valeur infer ieure 
a une valeur fixee d f avance. Si c'est le cas, 
1' operation de securisation 34 impliquee par 
1 1 instruction 29 est executee. D'une maniere classique 
le programme 30 comporte une verification 35 de ce que 
1 'operation 34 a ete reussie. Si au cours du test 35 
correspondant on detecte que 1' operation de 
securisation 34 n'a pas ete reussie, le circuit 7 
delivre un signal de re jet transmis par le connecteur 
13 a 1' interface 3. Dans ce cas le terminal 1 produit 
sur I'ecran 3 un message indiquant I'echec. 

La securisation peut par exemple concerner la 
verification de ce qu'un code secret frappe sur le 
clavier 2 par un utilisateur correspond a un code 
secret memorise dans le circuit 22 de la carte 5. 

Par contre si 1' operation 34 a ete reussie, alors 
on decide, selon 1» invention, en une operation 3 6 
d'augmenter le contenu du compteur 16. Apres 
1' increment 3 6 du compteur 16, le programme 32 about it 
a I 1 operation 31 comme auparavant. 

Sur la figure 2, en ce qui concerne les operations 
28, 33 et 36 on a montre une duplication de ces 
operations. Ceci est a mettre en rapport avec 
1* existence d'un autre compteur: le compteur 17. Selon 
l 1 invention on prevoit en effet de^classer les demandes 
de transactions, selon leur nature, en plusieurs 
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classes. II peut y avoir par exemple la classe des 
authentications, la classe de cryptage, la classe des 
dechiffrage de cryptogramme (lecture de certificat) et 
ainsi de suite. On cree alors autant de compteurs 16, 
17 qu'il y a de classes gerees par les tests 28. On 
attribue de preference a chaque classe un compteur 
different. Ici on a montre deux classes correspondent 
aux compteurs 16 et 17. Autrement dit le test 2 8 
cherchera a savoir si la transaction 25 demandee est 
une transaction correspondante a une instruction 29 ou 
si elle est par ailleurs une transaction correspondant 
a une autre instruction 37 du programme 30. Le compteur 
16 compte le nombre de fois ott 1 • instruction 29 est 
utilisee, le compteur 17 compte le nombre de fois oil 
1 • instruction 37 est utilisee. 

On a prefere effectuer 1 • increment du compteur 
apres la verification 35 de ce que 1' operation 34de 
securisation avait ete reussie de maniere a ne pas 
comptabiliser inutilement des operations dans le 
circuit de securite 7 mis en place dans le lecteur 1 si 
un operateur se trompe au cours de 1« operation 34 en 
composant son numero de code avec le clavier 2. La 
position de 1* operation 3 6 dans 1 • arborescence issue de 
1' operation 33 peut neanmoins etre quelconque, par 
exemple situe entre l'etape 33 et l'etape 34. Selon ce 
qui vient d'etre dit de preference elle est situee a la 
fin de cette arborescence. 

Les valeurs des compteurs 16 ou 17 ne sont pas 
inferieures a la valeur fixee lorsqu'ils ont atteint, 
en une transaction precedente, cette valeur fixee. Dans 
ce cas, en une operation 38 correspondant a un sous 
programme 39 memorise dans la memoire 15 on provoque la 
re- initialisation du compteur 16 ou 17 concerne. Cette 
operation de re-initialisation n'a rien de different, 
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dans 1' invention, des formes quelle peut par ailleurs 
avoir d'une maniere connue dans 1 • etat de la technique. 
Le sous programme 39 pourra comport er notamment une 
procedure securisee, en particulier des verifications 
de codes secrets comme cela va etre explique ci-apres. 

Ces programmes 30, 3 2 et 3 9 peuvent etre compris 
dans un programme principal unique. La representation 
qui en est donnee ici est indiquee pour bien montrer 
l'apport de 1' invention. Dans l'etat de la technique 
seul existait le programme 30. Dans 1 1 invention il 
existe en plus le programme 32 pour la mise en oeuvre 
des nouvelles operations 3 3 et 3 6 et le programme 3 9 
pour effectuer 1' operation 38. 

A titre d'exemple, une operation d 1 authentif ication 
entre un terminal 1 et une carte 5 est montree sur la 
figure 4. Dans celle-ci, le terminal 1 envoie un alea, 
une chaine de caracteres, tou jours differente d'une 
session a une autre, a la carte a puce 5. La carte 5 
re$oit dans son circuit 22 la valeur de cet alea. La 
carte 5 possede des moyens, notamment generalement un 
micro-processeur du meme type que les micro-processeur 
11 et 18, et par ailleurs des indications secretes, un 
code secret. Le micro-processeur de la carte est 
capable de mettre en oeuvre un algorithme de 
chiffrement pour chiffrer l'alea en fonction de la 
valeur du code secret. Ce chiffrement result e en un 
alea crypte produit par la carte. La carte transmet 
alors l'alea crypte de son connecteur a 1' inter face 21 
du terminal 1. Le terminal 1 est capable d' effectuer un 
cryptage de l'alea (il le connalt puisque c'est lui qui 
l f a produit) par un numero d f identification personnel 
(PIN: Personal Identification Number) frappe au clavier 
par l f utilisateur^ Ce dernier cryptage resulte en un 
PIN crypte. Le terminal 1 provoque alors la comparaison 
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de l'alea crypte au PIN crypte. Si la comparaison est 
positive, la suite de la transaction se produit sinon 
le terminal 1 en provoque le rejet. 

Ces operations ainsi montrees sous la reference 40 
5 sont typiquement des operations sensibles effectuees 
par le circuit de securite 7 a l'interieur du 
terminal 1 . 

D'une maniere comparable on peut prevoir qu'une 
combinaison de touches du clavier 2 conduise a une 

10 operation 38 de re-initialisation du ou des compteurs 
16 ou 17. Cette operation 38 comportera dans ce but une 
demande, affichee sur l'ecran 3 du terminal 1 faite a 
l'operateur de composer un numero secret de re- 
initialisation. Ce numero secret ne sera pas un numero 

15 PIN mais quelque chose d • equivalent . Une fois ce numero 
secret compose, et une touche validation du clavier 2 
enfoncee, le circuit 7 effectuera la comparaison, 
directe dans ce cas, du numero secret compose avec un 
numero attendu memorise dans sa memoire 50. Si la 

20 comparaison est positive le compteur selectionne est 
re- initialise. II est disponible pour un meroe nombre de 
transactions . 

De preference, on effectue la re-initialisation a 
distance par un systeme maitre, par exemple a la suite 
25 d'une operation de collecte des donnees des 
transactions quotidiennes . 

Pour empecher que le fraudeur ne se serve d'un 
lecteur 1 pour tenter, f rauduleusement , de reactiver le 
circuit 7, on pourra prevoir dans 1' operation 38, un 
autre compteur du circuit 7, par exemple limits a trois 
operations, au deia desquelles le circuit 7 sera 
definitivement neutralise si le numero secret compose 
est faux trois fois de suite. Ce comptage jusqu'a trois 
peut etre effectue par le terminal l (dans son 
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programme 26) , il est de preference effectue par le 
circuit 7 lui-meme. En variante, le circuit 7 est a 
usage unique, des que le compteur 16 ou 17 est bloque, 
il faut le remplacer par un nouveau circuit 7. Le cas 
echeant, on engage automatiquement une procedure 
d'effacement du contenu du SAM, en particulier , secrets 
et algorithmes de chiffrement. 

En agissant ainsi on se rend compte qu 1 un f raudeur 
n'aura qu'un nombre limite d'acces au circuit de 
securite 7. Au dela, le circuit 7 neutralisera tous les 
lecteur 1 dans lesquels il sera introduit. 

Dans un exemple une action sensible est done une 
authentif ication d'un porteur de la carte a puce. Dans 
un autre exemple, une operation sensible peut tout 
simplement etre un cryptogramme de certaines donnees, 
une procedure d ! authentif ication reciproque. Des 
donnees sont ainsi transmises au circuit de securite 7 
qui les restitue sous une forme cryptee, utilisable en 
vue de leur transmission, ou de leur stockage dans la 
carte a puce 5, Dans le domaine du porte-monnaie 
electronique, il est prevu que la carte a puce comporte 
un etat du solde du porte-monnaie et un certificat. Le 
certificat est un cryptogramme representatif de la 
coherence du solde du porte-monnaie avec une 
information relative a la carte, par exemple son numero 
de serie, et une information variable, par exemple un 
compteur d 1 operations qui compte le nombre de fois oil 
on s'est servi du porte-monnaie. L 1 operation de 
verification de cryptogramme, operation sensible, 
effectuee par le circuit securise consiste a recalculer 
le certificat sur ces bases, et a verifier que celui 
qui etait enregistre dans la carte a puce porte-monnaie 
est le meme. 
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Pour limiter les operations, on peut deja les 
empecher completement . C'est ce qui a ete vu jusqu'ici. 
Neanmoins, et ceci est represents schematiquement par 
la liaison 41 en tirets, figure 2, on peut accepter un 
f onctionnement degrade du terminal 1, Dans ce 
f onctionnement degrade, bien entendu aucune operation 
sensible ne peut etre effectuee* Par contre des 
operations anodines, visualisation de solde de compte, 
transmission d 1 informations non conf identielles (numero 
de serie, numero de compte en banque, nom et adresse du 
porteur) peuvent etre autorisees. Dans ce cas le 
programme 26 pourra continuer a se derouler selon ce 
qui a ete prevu par son concepteur. En effet, le 
programme 26 represente une partie de 1 9 application et 
il est possible que certaines actions puissent etre 
executees meme si par ailleurs d'autres operations 
sensibles n'ont pu etre verifiees. L 1 autre partie de 
1 1 application est contenue dans le programme 30. 
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RE VEND I CAT I ON S 

1 - Precede de gestion d'un terminal (1) securise 
(7) utilise pour des transactions avec des cartes a 
puce comport ant les e tapes suivantes 

- on met une carte (5) a puce (22) en relation avec 
le terminal, 

on fait executer un programme (26) par le 
terminal, ce programme comportant des operations (29) 
sensibles relatives a la securisation des transactions, 
caracterise en ce que 

- on compte (32,16) le nombre de fois ou le 
terminal est sollicite pour executer des operations 
sensibles, et 

- on limite l 1 act ion de ce terminal des que ce 
compte atteint (33) une valeur fixee. 

2 - Procede selon la revendication 1, caracterise 
en ce que 

- on munit le terminal d f un circuit (8) 
electronique amovible de security, et 

- on compte (16) dans ce circuit le nombre 
d* operations sensibles sollicitees aupres de lui ou 
executees par lui. 

3 - Procede selon l'une des revendications 1 a 2, 
caracterise en ce que 

- on repartit les operations sensibles en plusieurs 
classes et 

- on etablit un compte (16,17) pour chaque classe. 

4 - Procede selon l'une des revendications 1 a 3, 
caracterise en ce que 
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— comme operation sensible on execute une procedure 
d 1 identification reciproque entre le terminal et la 
carte . 

5 - Procede selon Pune des revendications la 4, 
5 caracterise en ce que 

— comme operation sensible on effectue une 
authentif ication (PIN) d'un porteur de la carte a puce. 

6 - Procede selon 1 1 une des revendications la 5, 
caracterise en ce que 

10 - comme operation sensible on effectue une 

verification d'un certificat provenant d'une carte a 
puce. 

7 - Procede selon I'une des revendications la 6, 
caracterise en ce que 

15 - on re-initialise le compteur par une procedure 

securisee comportant une verification d'un code secret 
par le terminal ou le circuit de securite. 

8 - Procede selon la revendication 7, caracterise 
en ce que 

20 - la procedure securisee comporte une verification 

d'un code secret par le terminal ou le circuit de 
securite. 

9 - Procede selon la revendication 7, caracterise 
en ce que 

25 - la re-initialisation est effectuee a distance par 

un systeme maltre. 

10 - Procede selon I'une des revendications 1 a 9, 
caracterise en ce que 

— on incremente le compteur apres une operation 
3 0 sensible reussie. 

11 - Procede selon I'une des revendications 1 a 10, 
caracterise en ce que 
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- pour limiter, on interdit une partie (47) 
seulement des operations de la transaction projetee. 

12 - Circuit de securite pour la mise en oeuvre du 
procede selon l'une quelconque des revendications 1 a 
11, caracterise en ce qu'il comporte des moyens de 
gestion (16, 17, 32, 39) aptes a: 

- identifier et comptabiliser des sollicitations 
provenant de l'exterieur et a limiter ses fonctions des 
que la comptabilisation atteint un nombre predetermine. 



27659S5 • ' 

* ♦ 




BNSDOCID: <FR 2765985A1 J_> 



2765985 



2/2 

FIG_2 



INSERTION CARTE 



■IK 



DEMANDE DE TRANSACTION 




SUITE DE TRANSACTION 



BNSDOCID: <FR 2765985A1_I_> 



REPUBLIQUE FRANQAISE 



2765985 



INSTTTUT NATIONAL, 
de la 

PROPRIETE INDUSTRIELLE 



RAPPORT DE RECHERCHE 

PRELIMINAIRE 

etabli sur la base des demieres revendications 
deposees avant le commencement de la recherche 



N° d'enregistrement 
national 

FA 544819 
FR 9708813 



Categorie 



DOCUMENTS CONS1DERES COMME PERTINENTS 



Citation du document aveo indication, en cas de beooin, 
des parties pertinentea 



Revendications 
coneernees 
de la demands 
examinee 



EP 0 157 303 A (TOSHIBA) 

* abrege; revendications; figures 1-4 * 

* page 4, ligne 8 - page 5, ligne 25 * 

FR 2 574 647 A (M. WIDMER) 

* abrege; revendications; figures 1,4,5 i 

* page 9, ligne 16 - page 11, ligne 22 * 

EP 0 626 662 A (GEMPLUS CARD 
INTERNATIONAL) 

* abrege; revendications; figures * 
EP 0 696 016 A (FUJITSU) 



1,2,10, 

12 

3 



1,2,10, 
12 

5,7,8 



1,2,4,12 



DOMAINES TECHNIQUES 
RECHERCHES <lnt.CI_6) 

G07F 





Dal 


e d'achevement de la recherche 


Examinateur 






26 mars 1998 


David, J 


X 
Y 

A 


CATEGOFUE DES DOCUMENTS CfTES 

particulieiement pertinent a lui aeul 

parti cu lie re merit pertinent en combinataon aveo un 
autre document de la meme categorie 

pertinent a rencontre «fau motns une revendication 
ou arnere-plan technologique general 
: divulgation non-ecrite 

document inte real aire 


T : theorie ou principe a la base de rinvention 

E : document de brevet beneftciant dune date anterieure 

a ta date de depot et qui n a ete publie qu'a eette date 

de depdt ou qua une date posterieure. 
D : cite dans la demande 
L : cite pour tfautres raisons 


O 
P 


& : membre de fa meme fj 


ami He, document oorrespondant 



BNSDOCID: <FR 2765985A1_L> 



